Общие сведения
Avanpost FAM обладает встроенной функциональностью LDAP-синхронизации и LDAP-аутентификации. В статье описывается настройка интеграции с OpenLDAP в качестве поставщика учётных данных и в качестве средства проверки паролей. Интеграция осуществляется посредством протокола LDAP.
Механизм интеграции Avanpost FAM с OpenLDAP посредством LDAP может применяться при решении следующих задач:
- Первичная загрузка данных о пользователях из домена OpenLDAP.
- Поддержка актуальности данных о пользователях при их изменении в домене OpenLDAP.
- Загрузка информации о членстве пользователей в группах в OpenLDAP.
- Проверка пароля в OpenLDAP при 2FA/MFA для корпоративных ресурсов.
- Проверка пароля в OpenLDAP при 2FA для серверов и компьютеров под управлением Windows и Linux.
Avanpost FAM поддерживает одновременную интеграцию с неограниченным количеством доменов, в качестве которых могут выступать несколько LDAP-каталогов как на базе OpenLDAP, так и на базе других служб каталогов (MS AD, FreeIPA, Avanpost DS и т.д.).
Системные требования для интеграции Avanpost FAM:
- Сервер с установленным OpenLDAP.
- Сервер Avanpost FAM 1.3+.
Настройка
Настройка на стороне OpenLDAP
Необходимо создать служебную УЗ с установленным паролем.
Также на стороне OpenLDAP необходимо зафиксировать значения параметров, которые потребуются для настройки:
- IP-адрес или DNS-имя сервера OpenLDAP;
- порт LDAP-интерфейса сервера OpenLDAP;
- Base Distinguished Name (Base DN).
Настройка на стороне Avanpost FAM
В разделе «Настройки LDAP-провайдеров» создать новый провайдер, указав следующие параметры:
Параметр Что указать Примеры значений Вкладка/шаг визарда «Подключение» Имя Произвольное имя LDAP-провайдера OpenLDAP
Группы по умолчанию Начать ввод имён групп, которые должны быть выданы новым пользователям, создаваемым в результате LDAP-синхронизации Имя группы, созданной в Avanpost FAM: lk-client
Host IP-адрес или DNS имя контроллера домена OpenLDAP Пример IP-адреса:
10.10.17.91
,Пример имени контроллера домена:
openldap.avanpost.demo
Port Порт подключения к LDAP-каталогу Без TLS:
389
.С TLS:
636
.SSL Функция включения поддержки подключения к LDAP-каталогу по протоколу LDAPS BaseDN Объект каталога, начиная с которого производится поиск dc=open,dc=ldap Имя пользователя Имя служебной учетной записи в виде DN, используемая для импорта учетных записей, а также для проверки существования учетной записи в LDAP при попытке аутентифицироваться с использованием пароля от учетной записи в домене uid=ldapauth,dc=open,dc=ldap Пароль Пароль от служебной учетной записи P@ssw0rd! Расписание запуска синхронизации (Cron с секундами)
5-ти символьный формат cron / 6-ти символьный формат quartz (с секундами) 0 30 12 * * *
Вкладка/шаг визарда «Интеграция» Фильтр поиска пользователей LDAP-фильтр для импорта пользователей (&(objectClass=posixAccount)(ou:dn:=Users)) Фильтр поиска аутентифицируемого пользователя LDAP-фильтр для поиск пользователей, чей пароль будет проверен в openLDAP (&(objectClass=posixAccount)(uid=%v)) LDAP атрибут, содержащий логин пользователя Параметр, на основании которого будет сформирован логин в FAM . Атрибут пользователя uid Внешний ключ учетной записи Уникальный ключ (атрибут пользователя) в OpenLDAP uidNumber Атрибут для связывания учетной записи из LDAP c учетной записью IDP Параметр для проверки уникальности учетной записи между OpenLDAP и FAM. Атрибут пользователя DN Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP Наименование атрибута пользователя, по которому будет производится поиск пользователей по группам. Например за факт наличия пользователей в группе отвечает атрибут группы memberUid, он в свою очередь является атрибутом uid у пользователя uid Импорт дополнительных атрибутов учетной записи Настройка импорт дополнительных атрибутов из AD в FAM Приложение B Фильтр поиска групп LDAP-фильтр для импорта групп. Если в данной настройке будут найдены пользователи из "Фильтр поиска пользователей", то их учетные записи автоматически попадут в эту группу в FAM (&(objectClass=posixGroup)(cn=OpenLDAP_FAMusers)) Атрибут наименования группы Атрибут группы в OpenLDAP с наименование группы cn Атрибут описания группы Атрибут группы в OpenLDAP с описанием группы cn Атрибут со списком участников группы Атрибут группы в OpenLDAP со списком пользователей группы memberUid - Убедиться, что провайдер находится в статусе «Active».
Проверка настройки
- Открыть журнал событий безопасности.
- Убедиться в наличии сообщений об успешно выполненной синхронизации с openldap.
Сценарии использования
Первичная загрузка/импорт пользователей из домена на базе OpenLDAP в Avanpost FAM
Система Avanpost FAM может выполнить первичную загрузку и создание пользователей, импортировав данные из домена OpenLDAP. Загрузка всех пользователей будет выполнена в результате первой синхронизации в соответствии с заданным расписанием.
После выполнения синхронизации в каталог Avanpost FAM будут автоматически добавлены пользователи, соответствующие заданному LDAP-фильтру. В качестве источника у таких пользователей автоматически будет указан соответствующий LDAP-каталог, а также будет зафиксирована дата и время создания пользователя.
Автоматическое создание пользователя в Avanpost FAM при его добавлении в домене OpenLDAP
При добавлении пользователей в OpenLDAP, подключенном к Avanpost FAM, система будет автоматически создавать пользователей, которые попадают под правила заданного LDAP-фильтра поиска пользователей.
Обновление атрибутов пользователя при их изменении в домене OpenLDAP
При изменении атрибутов пользователя в домене OpenLDAP, подключенном к Avanpost FAM, система будет автоматически обновлять значения атрибутов, которые настроены в правилах маппинга.
Аутентификация с проверкой пароля через LDAP BIND в домене OpenLDAP
Если пользователь найден в домене OpenLDAP, подключенном к Avanpost FAM, в соответствии с заданным фильтром поиска аутентифицируемого пользователя, то пароль проверяется в LDAP-каталоге. Иначе проверка пароля пользователя выполняется внутренними средствами Avanpost FAM.
Приложение А. Примеры LDAP-фильтров для выборки пользователей, синхронизируемых из OpenLDAP в Avanpost FAM
Выгрузка пользователей из нескольких групп:
(&(objectClass=posixAccount)(|(ou:dn:=Users)(ou:dn:=Extension)))
Приложение Б. Примеры LDAP-фильтров для выборки групп, синхронизируемых из OpenLDAP в Avanpost FAM
Выгрузка нескольких групп:
(&(objectClass=posixGroup)(|(cn=OpenLDAP_FAMusers)(cn=OpenLDAP_VPNUsers)))
Приложение В. Примеры импортируемых атрибутов пользователей при синхронизации из OpenLDAP в Avanpost FAM
Таблица с указанием наиболее часто импортируемых атрибутов пользователя в OpenLDAP:
Атрибут | Значение | Пример значения |
---|---|---|
displayName | ФИО | Петров Иван Сергеевич |
givenName | Имя | Иван |
sn | Фамилия | Петров |
displayName | ФИО | Петров Иван Сергеевич |
mail | petrovis@avanpost.ru | |
uid | Имя входа пользователя | petrovIS |
o | Наименование организации | Аванпост |
DN | Уникальное имя (Distinguished Name) | uid=petrovis,OU=ИТ отдел,DC=open,DC=ldap |
Исчерпывающий перечень доступных для загрузки атрибутов содержится в документации на OpenLDAP.